청와대 홈페이지가 변조되는 초유의 사건이 발생했다. 박근혜 대통령 사진이 특정 해커 집단에 의해 희화화되는 웃지 못 할 일이 발생한 것이다. 방송사와 금융기관의 전산망을 마비시킨 3.20 사태가 발생한 지 90여일 만에 또 다시 국가 사이버 안전이 위협을 받았다.
이 때문에 이번 사건을 계기로 철저한 원인분석 및 재발방지를 위한 대책 마련이 필요하다는 의견이 벌써부터 비등해 지고 있다. 사이버 보안 투자에 인색한 정부의 정책 역시 재고돼야 한다는 목소리다.
◇누가, 왜 청와대를 공격했나
이날 터진 청와대와 국무조정실 홈페이지 해킹은 정치적 의도가 짙다는 게 전문가들의 분석이다. 어나니머스가 북한을 공격한 시점에 맞춰 대한민국의 상징인 두 핵심 기관이 해킹 공격을 당했기 때문이다. 일각에서는 보복성 해킹에 무게를 두고 있다.
장중혁 애틀라스리서치앤컨설팅 부사장은 “정부 사이트가 해킹 당했다는 것 자체가 문제”라면서 “단순한 홈페이지 변조보다는 정치적 의도가 깔려있다는 관점에서 접근할 필요가 있다”고 강조했다.
정부 민간 합동조사단은 일단 국가정보망 중 업무용이 아닌 인터넷망에 연결된 `웹서버`를 해킹한 것으로 파악한다. 안전행정부와 대전 통합전산센터가 관리하는 국가정보망은 물리적으로 내부와 외부 망을 분리·사용한다.
박춘식 서울여대 교수는 “정확한 원인분석을 해봐야 하겠지만, 현재로서는 웹서버가 뚫린 것처럼 보인다”고 설명했다. 정부 관계자는 “청와대는 국가안보실에서 자체적으로 관리를 하고, 국무조정실은 대전 통합정부전산센터와 연결돼 있다”며 “웹서버가 공격당한 것은 맞다”고 설명했다. 홈페이지의 취약점을 분석한 뒤 이를 통로로 서버까지 침투했을 가능성이 높다. HTTP 서비스를 위해 통상 열어두는 80포트를 통해 침투했다는 분석이다.
문제는 해커가 이미 지능형지속위협(APT) 공격을 통해 업무망에도 악성코드를 심었을 가능성을 배제할 수 없는 것이다. 이날 해커집단은 청와대 홈페이지 가입자 명단 등 데이터베이스(DB) 서버에 접속해야 확보가 가능한 콘텐츠를 공개하기도 했다. 이미 데이터를 복사한 뒤 빼내갔거나, 3.20 사태처럼 특정 시간에 모든 데이터 파괴 명령을 내릴 수 있도록 악성코드(AGENT)를 심어놨을 수 있다는 지적이다. 국가의 핵심 전산망 시스템에 관한 극비 정보가 이미 수집당했을 가능성도 열려 있는 셈이다.
◇예고된 인재(?)
`정상(25일 오전 10시 30분)` 청와대 홈페이지가 해킹을 당한 25일 오전 10시 30분을 전후해 국정원 국가사이버안전센터 사이버위기경보는 녹색인 `정상`을 가리키고 있었다.
대한민국의 심장인 청와대 홈페이지가 해킹을 당했는데도 불구하고, 국정원이 사전에 해킹 움직임을 간파하지 못했다는 반증이다. `국가 사이버안전을 지키는 컨트롤 타워가 되겠습니다`라는 선언을 무색케 하는 대목이다. 국정원은 오전 11시 45분에 파란색의 관심 경보를 발령했다. 지난 3.20에 이어 이번에도 늑장대응을 한 셈이다.
보안업계 관계자는 “어나니머스의 북한 공격이 이미 예고돼 있었고, 이에 따른 보복 공격은 예상할 수 있는 사안”이라며 정부의 사전 대응이 안이했음을 아쉬워했다.
김원석기자 stone201@etnews.com